Преступник взламывал корпоративные системы, похищал из них пароли, а затем выкладывал в открытый доступ на специальном сайте. Как выяснилось в ходе расследования, злоумышленник выложил более 900 похищенных паролей на русскоязычном форуме, который был создан специально для хакеров. Интернет мошенник опубликовал на подпольном сайте адреса электронных почт, пароли и логины для доступа к корпоративным серверам.
Издание ZDNet подтвердило подлинность полученных сведений относительно похищения конфиденциальной информации из корпоративных серверов. По информации, полученной от ZDNet, преступник выложил целый список с IP-адресами VPN-серверов, версиями прошивки и ключами доступа. Также на сайте появилась информация обо всех локальных пользователях и их учётных записях в системе.
Обнаружить подозрительную деятельность удалось одному аналитику под псевдонимом Bank Security. Он специализируется на кибератаках в финансовом секторе, поэтому в ходе проверки ему удалось обнаружить список, выложенный злоумышленником на сайте. Аналитик утверждает, что все взломанные серверы имели одинаковую критическую уязвимость. Также Bank Security отметил примерный алгоритм действий злоумышленника. По его мнению, преступник сначала исследовал серверы на наличие уязвимостей, затем он использовал обнаруженные проблемы в программном обеспечении с целью похищения конфиденциальной информации. После того, как ему удалось похитить логины и пароли, преступник собрал данные в одном месте, а затем разместил на форуме.
